Google logo Les applications en ligne de Google sont vulnérables à des attaques, voilà ce qu'avancent deux chercheurs en sécurité informatique comme s'en fait l'écho InformationWeek. Adrian Pastor dit " pagvac " de GNUCitizen.org, avance qu'une page tierce peut être injectée dans le domaine google.com via un code exploit dont il propose une preuve de concept. Pour preuve donc, cette page où il peut afficher une page de connexion à Gmail plus vraie que nature mais frauduleuse avec une barre d'adresse dans le navigateur faisant état de mail.google.com. En l'occurrence, après validation, les identifiants sont transmis à www.gnucitizen.org.

La PoC de pagvac a fait se rappeler à Aviv Raff, la découverte d'une faille dans google.com datant d'il y a 6 mois via laquelle des applications comme maps (maps.google.com), images (images.google.com), actualités (news.google.com) ou encore Gmail sont accessibles depuis plusieurs sous-domaines google.com. Ainsi, Google Maps peut par exemple être utilisé pour détourner des comptes Google Apps, Mail. Le risque encouru en combinaison avec une autre faille est le vol d'identifiants comme l'a démontré Pastor.

Raff a indiqué à InformationWeek avoir alerté Google de ce problème au mois d'avril, mais apparemment il y a toujours anguille sous roche. Un porte-parole de la firme de Mountain View a déclaré : " Nous sommes conscients de ce comportement, lorsque des services sont hébergés à travers de multiples domaines, et nous prenons des mesures nécessaires pour le restreindre là où nous estimons que cela peut avoir des conséquences en termes de sécurité ".